《数据安全法》要点解读汇编(5篇)
目录
1.《数据安全法》要点解读 2
2.《数据安全法》要点解读 10
3.《数据安全法》要点解读 15
4.《数据安全法》要点解读 25
5.《数据安全法》要点解读 27
《数据安全法》要点解读
2021年6月10日,第十三届全国人民代表大会常务委员会第二十九次会议通过《数据安全法》三审稿,该法将于2021年9月1日起正式施行。《数据安全法》全文共七章五十五条,分别从数据安全与发展、数据安全制度、数据安全保护义务、政务数据安全与开放的角度对数据安全保护的义务和相应法律责任进行规定。本文将对《数据安全法》的立法沿革和重点条款进行解读,以期帮助市场参与者在新法生效前及时做好数据安全建设,降低合规风险。
一、《数据安全法》的立法沿革
2020年6月28日,第十三届全国人大常委会第二十次会议对《数据安全法(草案)》进行了初次审议。2021年4月29日,中国人大网公布了《数据安全法(草案)》的二审稿。二审稿的主要亮点在于将数据分类分级制度作为数据安全的基本核心制度,强化了等保的基础作用,提出明确数据安全负责人和管理机构的要求,明确关键信息基础设施的运营者在重要数据的出境方面的义务和责任,调整数据处理服务的资质要求,加强向涉外司法机构提供数据的监管,大幅加重不履行数据安全保护义务的法律责任及拒不配合数据调取的法律责任等。
在近日通过的最终三审稿中,与二审稿相比,主要的亮点和变化体现在明确国家机关在数据安全管理的职责和配合机制,强调对重要数据重点保护,强调智能化公共服务对老年人等的适用性,完善政务数据安全保障,并进一步加大对违法行为的处罚力度。
二、《数据安全法》重点条款解读
第一章第五条 中央国家安全领导机构负责国家数据安全工作的决策和议事协调,研究制定、指导实施国家数据安全战略和有关重大方针政策,统筹协调国家数据安全的重大事项和重要工作,建立国家数据安全工作协调机制。
第一章第六条 各地区、各部门对本地区、本部门工作中收集和产生的数据及数据安全负责。工业、电信、交通、金融、自然资源、卫生健康、教育、科技等主管部门承担本行业、本领域数据安全监管职责。
公安机关、国家安全机关等依照本法和有关法律、行政法规的规定,在各自职责范围内承担数据安全监管职责。
国家网信部门依照本法和有关法律、行政法规的规定,负责统筹协调网络数据安全和相关监管工作。
《数据安全法》作为数据安全领域最高位阶的专门法,与2017年6月1日起施行的《网络安全法》一起补充了《国家安全法》框架下的安全治理法律体系,更全面地保障了国家安全在各行业、各领域保障的有法可依。
就监管机构而言,国家安全机构、公安机关、网信部门、以及工业、电信、交通、金融等主管部门均有权在各自的职权范围内对数据安全进行监督和管理。因此,《数据安全法》延续了《网络安全法》生效以来的“一轴两翼多级”的监管体系。“一轴”指国家安全机关,两翼指公安机关和网信部门,多级在行业横向范围主要体现在工业、电信、交通、金融等行业主管部门的共同参与,在行政架构方面主要体现在各地区、各部门对工作中收集和产生的数据进行安全管理上。
第一章第十条 相关行业组织按照章程,依法制定数据安全行为规范和团体标准,加强行业自律,指导会员加强数据安全保护,提高数据安全保护水平,促进行业健康发展。
第二章第十六条国家促进数据安全检测评估、认证等服务的发展,支持数据安全检测评估、认证等专业机构依法开展服务活动。
第二章第十七条 国家推进数据开发利用技术和数据安全标准体系建设。国务院标准化行政主管部门和国务院有关部门根据各自的职责,组织制定并适时修订有关数据开发利用技术、产品和数据安全相关标准。国家支持企业、社会团体和教育、科研机构等参与标准制定。
在数据安全技术发展日新月异的背景下,立法的要求无法完全与科技发展保持同步,行业协会、评估认证专业机构和标准化机构等组织在推动技术发展、完善合规建设和实现行业自律方面的作用得到了法律的充分认可。
为了能够及时与行业的最新发展同步、参与引领行业发展的方向,建议市场参与者积极加入有关行业协会或组织,踊跃参与行业标准的讨论,积极分享企业在安全合规建设中探索出的实践经验,并以行业最佳实践为基线实时推进企业内部的合规建设。行业协会也可作为传达行业普遍面临的难题和最新技术进展的重要媒介,积极与监管形成有益、互信的良好互动。
在评估、认证方面,专业机构可基于对行业的深度认知、在咨询过程中积累的丰富行业经验,帮助行业的新进者识别合规义务和锚定风险隐患,有针对性地提出合规改进方案和措施,帮助相关企业降低合规风险。
第二章第十五条 国家支持开发利用数据提升公共服务的智能化水平。提供智能化公共服务,应当充分考虑老年人、残疾人的需求,避免对老年人、残疾人的日常生活造成障碍。
疫情期间基于大数据的公共服务应用得到迅速的推广,与个人生活的参与深度也得到前所未有的提升。但高龄、视障等群体由于不会使用智能手机进行付款、预约等操作而举步维艰。在防疫智能应用迅速根据疫情需要进行适老化调整后,大量其他与生活息息相关的应用仍可能将部分人群排除在智能化、数字化的生活之外。《数据安全法》将智能化公共服务满足老年人、残疾人的需求列入国家重点支持的范围之内,充分体现了国家对弱势群体需求的关注。
第三章第二十一条 国家建立数据分类分级保护制度,根据数据在经济社会发展中的重要程度,以及一旦遭到篡改、破坏、泄露或者非法获取、非法利用,对国家安全、公共利益或者个人、组织合法权益造成的危害程度,对数据实行分类分级保护。国家数据安全工作协调机制统筹协调有关部门制定重要数据目录,加强对重要数据的保护。
关系国家安全、国民经济命脉、重要民生、重大公共利益等数据属于国家核心数据,实行更加严格的管理制度。
各地区、各部门应当按照数据分类分级保护制度,确定本地区、本部门以及相关行业、领域的重要数据具体目录,对列入目录的数据进行重点保护。
《网络安全法》第21条首次提出了数据分类分级保护制度,《数据安全法》进一步明确了相关部门在分类分级保护和重要数据保护中的职能。《数据安全法》原则性规定了数据分类分级的依据为在经济社会发展中的重要程度和遭到篡改、泄露等情形时的危害程度。由于不同行业、不同地区数据分类分级的具体规则和考虑因素差异巨大,《数据安全法》将重要数据具体目录和具体分类分级保护制度的制定权限下放到行业主管部门和各地区国家机关,充分平衡了法律规定的普适性和灵活性。对于市场参与者而言,我们建议首先关注《工业数据分级分类指南(试行)》、《基础电信企业数据分类分级方法》(YD/T3813-2020)、《个人金融信息保护技术规范》(JR/T0171-2020)等行业数据分级分类的国家标准,另外也需要密切关注地方行业主管部门发布的数据分类分级目录等要求。
第三章第二十二条 国家建立集中统一、高效权威的数据安全风险评估、报告、信息共享、监测预警机制。国家数据安全工作协调机制统筹协调有关部门加强数据安全风险信息的获取、分析、研判、预警工作。
第三章第二十三条 国家建立数据安全应急处置机制。发生数据安全事件,有关主管部门应当依法启动应急预案,采取相应的应急处置措施,防止危害扩大,消除安全隐患,并及时向社会发布与公众有关的警示信息。
第三章第二十四条 国家建立数据安全审查制度,对影响或者可能影响国家安全的数据处理活动进行国家安全审查。依法作出的安全审查决定为最终决定。
《数据安全法》提出建立数据安全风险评估、安全事件报告制度、监测预警机制、应急处置机制和安全审查等制度,有望在后期逐步推出具体机制体制的主管机构、适用范围、评估审查模式等配套制度。值得注意的是,国家依法作出的数据安全审查决定为最终决定,这意味着相关具体行政行为将无法通过行政复议、行政诉讼等形式进行救济。
第三章第二十五条 国家对与维护国家安全和利益、履行国际义务相关的属于管制物项的数据依法实施出口管制。
第三章第二十六条 任何国家或者地区在与数据和数据开发利用技术等有关的投资、贸易等方面对采取歧视性的禁止、限制或者其他类似措施的,可以根据实际情况对该国家或者地区对等采取措施。
在国际竞争逐步蔓延到数据、网络领域后,各国之间的摩擦频发。例如2020年8月,美国以保护国家安全为由,要求字节跳动出售TikTok应用程序及业务。美国对TikTok
的封杀反映了《外国投资审查现代化法》对涉及美国公民敏感信息和来自于特殊国家投资项目严加审查的立法和执法态度。我国《数据安全法》一方面明确维护国家安全和利益、履行国际义务可作为禁止相关数据出口的合法依据,另一方面明确了对外国在数据领域的投资、贸易歧视可采取对等反制措施的立法主张,充分体现了我国在网络数据空间主张数据主权的立法思想。
第四章第二十七条开展数据处理活动应当依照法律、法规的规定,建立健全全流程数据安全管理制度,组织开展数据安全教育培训,采取相应的技术措施和其他必要措施,保障数据安全。利用互联网等信息网络开展数据处理活动,应当在网络安全等级保护制度的基础上,履行上述数据安全保护义务。
重要数据的处理者应当明确数据安全负责人和管理机构,落实数据安全保护责任。
第四章第二十九条 开展数据处理活动应当加强风险监测,发现数据安全缺陷、漏洞等风险时,应当立即采取补救措施;发生数据安全事件时,应当立即采取处置措施,按照规定及时告知用户并向有关主管部门报告。
第四章第三十条 重要数据的处理者应当按照规定对其数据处理活动定期开展风险评估,并向有关主管部门报送风险评估报告。
风险评估报告应当包括处理的重要数据的种类、数量,开展数据处理活动的情况,面临的数据安全风险及其应对措施等。
第四章第三十一条 关键信息基础设施的运营者在境内运营中收集和产生的重要数据的出境安全管理,适用《网络安全法》的规定;其他数据处理者在境内运营中收集和产生的重要数据的出境安全管理办法,由国家网信部门会同国务院有关部门制定。
《数据安全法》明确了开展数据处理活动的市场参与者应当建立完善的数据安全管理制度、进行安全教育培训、风险监测和报告,采用技术手段落实内部制度的规定。因此,数据安全合规制度的建设已成为企业应当履行的法律义务。《数据安全法》延续《网络安全法》的规定,对重要数据提出更高的数据保护要求,具体的法律义务包括明确数据安全负责人和管理机构、开展风险评估并报送报告、符合数据出境安全管理要求等。就风险评估本身而言,关于评估的具体主体、报告报送的对象、评估的频率有待后续立法进一步明确。
《数据安全法》也在法律责任的部分明确了不履行第二十七、二十九、三十条规定的数据安全保护义务、尚未造成数据泄露等后果的,主管部门也可以采取责令改正、警告、罚款等行政处罚措施。在相关制度不健全,且拒不改正或造成大量数据泄露等严重后果的,主管部门则可以责令暂停相关业务、停业整顿、吊销许可证或营业执照和处以罚款。
第四章第三十三条 从事数据交易中介服务的机构提供服务,应当要求数据提供方说明数据来源,审核交易双方的身份,并留存审核、交易记录。
第五章第三十四条 法律、行政法规规定提供数据处理相关服务应当取得行政许可的,服务提供者应当依法取得许可。
《数据安全法》特别对从事数据交易中介服务的市场参与者提出额外的安全保护要求。就数据交易中介服务本身而言,《数据安全法》尚未给出明确的范围,相关市场参与者可参考《数据交易服务安全要求》中“帮助数据需方和供方完成数据交易的活动”对自身的业务属性进行定位。
就中介机构需要进行审核的内容而言,《数据安全法》要求中介机构审核交易双方的身份,关于审核的具体内容、进行形式审核或实质审核、供需方的合规风险是否传导到中介机构等内容还有待立法和司法的进一步明确。
就数据处理的行政许可而言,《数据安全法》为后续数据交易的准入预留了口子。结合近期的立法和监管动向,例如《征信业务管理办法(征求意见稿)》和人行批准个人征信业务许可,后续可能会在多行业、多领域对市场的准入等环节加强监管。
第五章第三十八条 国家机关为履行法定职责的需要收集、使用数据,应当在其履行法定职责的范围内依照法律、行政法规规定的条件和程序进行;对在履行职责中知悉的个人隐私、个人信息、商业秘密、保密商务信息等数据应当依法予以保密,不得泄露或者非法向他人提供。
第五章第三十九条 国家机关应当依照法律、行政法规的规定,建立健全数据安全管理制度,落实数据安全保护责任,保障政务数据安全。
第五章第四十条 国家机关委托他人建设、维护电子政务系统,存储、加工政务数据,应当经过严格的批准程序,并应当监督受托方履行相应的数据安全保护义务。受托方应当依照法律、法规的规定和合同约定履行数据安全保护义务,不得擅自留存、使用、泄露或者向他人提供政务数据。
政务数据已成为促进政府科学决策、提高公共管理效能的重要资源,疫情催生的大量公共服务数据采集、分析工具也进一步提升了政务数据的体量和质量。《数据安全法》敏锐洞察到政府履职过程中收集、使用数据的安全合规、数据保密、数据共享和委托第三方设计、运维电子政务系统带来的安全问题,并要求相关国家机关制定完善的数据安全管理制度、严格的批准程序以应对实践中存在的数据泄露等安全风险。
第六章第四十一条 国家机关应当遵循公正、公平、便民的原则,按照规定及时、准确地公开政务数据。依法不予公开的除外。
第六章第四十二条 国家制定政务数据开放目录,构建统一规范、互联互通、安全可控的政务数据开放平台,推动政务数据开放利用。
在数据安全保障的大前提下,《数据安全法》明确了政务数据以公开为原则、不公开为例外的基本理念。在政务数据的互联互通方面,基于实践中普遍存在的政务数据“不愿开放、不敢开放、不会开放”孤岛,《数据安全法》要求在国家层面建立政务数据开放平台,并通过政务数据开放目录的形式应对政务数据领域数据资源碎片化、政务发展不均衡、政务协同缺乏互信基础等现实问题。
《数据安全法》要点解读
一、关于制定本法的必要性
随着信息技术和人类生产生活交汇融合,各类数据迅猛增长、海量聚集,对经济发展、社会治理、人民生活都产生了重大而深刻的影响。数据安全已成为事关国家安全与经济社会发展的重大问题。党中央对此高度重视,***总书记
多次作出重要指示批示,提出加快法规制度建设、切实保障国家数据安全等明确要求。党的十九大报告提出,推动互联网、大数据、人工智能和实体经济深度融合。党的十九届四中全会决定明确将数据作为新的生产要素。按照党中央部署和贯彻落实总体国家安全观的要求,制定一部数据安全领域的基础性法律十分必要:一是,数据是国家基础性战略资源,没有数据安全就没有国家安全。因此,应当按照总体国家安全观的要求,通过立法加强数据安全保护,提升国家数据安全保障能力,有效应对数据这一非传统领域的国家安全风险与挑战,切实维护国家主权、安全和发展利益。二是,当前,各类数据的拥有主体多样,处理活动复杂,安全风险加大,必须通过立法建立健全各项制度措施,切实加强数据安全保护,维护公民、组织的合法权益。三是,发挥数据的基础资源作用和创新引擎作用,加快形成以创新为主要引领和支撑的数字经济,更好服务我国经济社会发展,必须通过立法规范数据活动,完善数据安全治理体系,以安全保发展、以发展促安全。四是,为适应电子政务发展的需要,提升政府决策、管理、服务的科学性和效率,应当通过立法明确政务数据安全管理制度和开放利用规则,大力推进政务数据资源开放和开发利用。
二、关于起草工作和把握的几点
按照党中央部署,制定数据安全法列入了十三届全国人大常委会立法规划和年度立法工作计划。2018年10月,全国人大常委会法工委会同有关方面成立工作专班,抓紧草案研究起草工作。在起草过程中,多次召开座谈会,认真听取有关部门、企业和专家学者的意见;整理国内外有关立法资料,开展专题研究;并到有关地方和部门调研,深入了解数据安全领域存在的突出问题,听取立法意见建议。形成数据安全法草案稿后,又征求了中央有关部门和部分企业、专家的意见,经反复修改完善后,形成了《数据安全法(草案)》。
起草工作注意把握以下几点:一是,把握正确政治方向,贯彻落实总体国家安全观,坚持党对数据安全工作的领导。二是,立足数据安全工作实际,着力解决数据安全领域突出问题,同时坚持包容审慎原则,鼓励和促进数据依法合理有效利用。三是,数据安全法作为数据领域的基础性法律,重点是确立数据安全保护管理各项基本制度,并与网络安全法、正在制定的个人信息保护法等做好衔接。
需要说明的是,按照全国人大常委会立法规划和年度立法工作计划的安排,全国人大常委会法工委会同中央网信办正在抓紧个人信息保护法草案起草工作,争取尽早提请全国人大常委会审议。
三、关于草案的主要内容
草案共七章五十一条,主要内容包括:
(一)关于本法的适用范围
草案明确在我国境内开展的数据活动适用本法,其中数据是任何以电子或者非电子形式对信息的记录,数据活动是指数据的收集、存储、加工、使用、提供、交易、公开等行为。同时,草案赋予本法必要的域外适用效力,规定:境外的组织、个人开展数据活动,损害国家安全、公共利益或者公民、组织合法权益的,依法追究法律责任。
(二)关于支持、促进数据安全与发展的措施
草案坚持安全与发展并重,设专章对支持促进数据安全与发展的措施作了规定,保护个人、组织与数据有关的权益,提升数据安全治理和数据开发利用水平,促进以数据为关键要素的数字经济发展。包括:实施大数据战略,制定数字经济发展规划;支持数据相关技术研发和商业创新;推进数据相关标准体系建设,促进数据安全检测评估、认证等服务的发展;培育数据交易市场;支持采取多种方式培养专业人才等。
(三)关于数据安全制度
为有效应对境内外数据安全风险,有必要建立健全国家数据安全管理制度,完善国家数据安全治理体系。对此,草案主要作了以下规定:一是,建立数据分级分类管理制度,确定重要数据保护目录,对列入目录的数据进行重点保护。二是,建立集中统一、高效权威的数据安全风险评估、报告、信息共享、监测预警机制,加强数据安全风险信息的获取、分析、研判、预警工作。三是,建立数据安全应急处置机制,有效应对和处置数据安全事件。四是,与相关法律相衔接,确立数据安全审查制度和出口管制制度。五是,针对一些国家对我国的相关投资和贸易采取歧视性等不合理措施的做法,明确我国可以根据实际情况采取相应的措施。
(四)关于数据安全保护义务
保障数据安全,关键是要落实开展数据活动的组织、个人的主体责任。对此,草案主要作了以下规定:一是,开展数据活动必须遵守法律法规,尊重社会公德和伦理,有利于促进经济社会发展,增进人民福祉,不得违法收集、使用数据,不得危害国家安全、公共利益,不得损害公民、组织的合法权益。二是,开展数据活动应当按照规定建立健全全流程数据安全管理制度,组织开展数据安全教育培训,采取相应的技术措施和其他必要措施,保障数据安全。三是,开展数据活动应当加强数据安全风险监测、定期开展风险评估,及时处置数据安全事件,并履行相应的报告义务。四是,对数据交易中介服务和在线数据处理服务等作出规范。五是,对公安机关和国家安全机关因依法履行职责需要调取数据以及境外执法机构调取境内数据时,有关组织和个人的相关义务作了规定。
(五)关于政务数据安全与开放
为保障政务数据安全,并推动政务数据开放利用,草案主要作了以下规定:一是,对推进电子政务建设,提升运用数据服务经济社会发展的能力提出要求。二是,规定国家机关收集、使用数据应当在其履行法定职责的范围内依照法律、行政法规规定的条件和程序进行,并落实数据安全保护责任,保障政务数据安全。三是,对国家机关委托他人存储、加工或者向他人提供政务数据的审批要求和监督义务作出规定。四是,要求国家机关按照规定及时准确公开政务数据,制定政务数据开放目录,构建政务数据开放平台,推动政务数据开放利用。
(六)关于数据安全工作职责
数据安全涉及各行业各领域,涉及多个部门的职责,草案明确中央国家安全领导机构对数据安全工作的决策和统筹协调等职责,加强对数据安全工作的组织领导;同时对有关行业部门和有关主管部门的数据安全监管职责作了规定。
此外,草案还对违反本法规定的法律责任等作了规定。
《数据安全法》要点解读
2021年6月10日,第十三届全国人民代表大会常务委员会第二十九次会议通过《数据安全法》三审稿,该法将于2021年9月1
日起正式施行。《数据安全法》全文共七章五十五条,分别从数据安全与发展、数据安全制度、数据安全保护义务、政务数据安全与开放的角度对数据安全保护的义务和相应法律责任进行规定。本文将对《数据安全法》的立法沿革和重点条款进行解读,以期帮助市场参与者在新法生效前及时做好数据安全建设,降低合规风险。
一、《数据安全法》的立法沿革
2020年6月28日,第十三届全国人大常委会第二十次会议对《数据安全法(草案)》进行了初次审议。2021年4月29日,中国人大网公布了《数据安全法(草案)》的二审稿。二审稿的主要亮点在于将数据分类分级制度作为数据安全的基本核心制度,强化了等保的基础作用,提出明确数据安全负责人和管理机构的要求,明确关键信息基础设施的运营者在重要数据的出境方面的义务和责任,调整数据处理服务的资质要求,加强向涉外司法机构提供数据的监管,大幅加重不履行数据安全保护义务的法律责任及拒不配合数据调取的法律责任等。
在近日通过的最终三审稿中,与二审稿相比,主要的亮点和变化体现在明确国家机关在数据安全管理的职责和配合机制,强调对重要数据重点保护,强调智能化公共服务对老年人等的适用性,完善政务数据安全保障,并进一步加大对违法行为的处罚力度。
二、《数据安全法》重点条款解读
第一章第五条中央国家安全领导机构负责国家数据安全工作的决策和议事协调,研究制定、指导实施国家数据安全战略和有关重大方针政策,统筹协调国家数据安全的重大事项和重要工作,建立国家数据安全工作协调机制。
第一章第六条各地区、各部门对本地区、本部门工作中收集和产生的数据及数据安全负责。工业、电信、交通、金融、自然资源、卫生健康、教育、科技等主管部门承担本行业、本领域数据安全监管职责。
公安机关、国家安全机关等依照本法和有关法律、行政法规的规定,在各自职责范围内承担数据安全监管职责。
国家网信部门依照本法和有关法律、行政法规的规定,负责统筹协调网络数据安全和相关监管工作。
《数据安全法》作为数据安全领域最高位阶的专门法,与2017年6月1日起施行的《网络安全法》一起补充了《国家安全法》框架下的安全治理法律体系,更全面地保障了国家安全在各行业、各领域保障的有法可依。
就监管机构而言,国家安全机构、公安机关、网信部门、以及工业、电信、交通、金融等主管部门均有权在各自的职权范围内对数据安全进行监督和管理。因此,《数据安全法》延续了《网络安全法》生效以来的“一轴两翼多级”的监管体系。“一轴”指国家安全机关,两翼指公安机关和网信部门,多级在行业横向范围主要体现在工业、电信、交通、金融等行业主管部门的共同参与,在行政架构方面主要体现在各地区、各部门对工作中收集和产生的数据进行安全管理上。
第一章第十条相关行业组织按照章程,依法制定数据安全行为规范和团体标准,加强行业自律,指导会员加强数据安全保护,提高数据安全保护水平,促进行业健康发展。
第二章第十六条国家促进数据安全检测评估、认证等服务的发展,支持数据安全检测评估、认证等专业机构依法开展服务活动。
第二章第十七条国家推进数据开发利用技术和数据安全标准体系建设。国务院标准化行政主管部门和国务院有关部门根据各自的职责,组织制定并适时修订有关数据开发利用技术、产品和数据安全相关标准。国家支持企业、社会团体和教育、科研机构等参与标准制定。
在数据安全技术发展日新月异的背景下,立法的要求无法完全与科技发展保持同步,行业协会、评估认证专业机构和标准化机构等组织在推动技术发展、完善合规建设和实现行业自律方面的作用得到了法律的充分认可。
为了能够及时与行业的最新发展同步、参与引领行业发展的方向,建议市场参与者积极加入有关行业协会或组织,踊跃参与行业标准的讨论,积极分享企业在安全合规建设中探索出的实践经验,并以行业最佳实践为基线实时推进企业内部的合规建设。行业协会也可作为传达行业普遍面临的难题和最新技术进展的重要媒介,积极与监管形成有益、互信的良好互动。
在评估、认证方面,专业机构可基于对行业的深度认知、在咨询过程中积累的丰富行业经验,帮助行业的新进者识别合规义务和锚定风险隐患,有针对性地提出合规改进方案和措施,帮助相关企业降低合规风险。
第二章第十五条国家支持开发利用数据提升公共服务的智能化水平。提供智能化公共服务,应当充分考虑老年人、残疾人的需求,避免对老年人、残疾人的日常生活造成障碍。
疫情期间基于大数据的公共服务应用得到迅速的推广,与个人生活的参与深度也得到前所未有的提升。但高龄、视障等群体由于不会使用智能手机进行付款、预约等操作而举步维艰。在防疫智能应用迅速根据疫情需要进行适老化调整后,大量其他与生活息息相关的应用仍可能将部分人群排除在智能化、数字化的生活之外。《数据安全法》将智能化公共服务满足老年人、残疾人的需求列入国家重点支持的范围之内,充分体现了国家对弱势群体需求的关注。
第三章第二十一条国家建立数据分类分级保护制度,根据数据在经济社会发展中的重要程度,以及一旦遭到篡改、破坏、泄露或者非法获取、非法利用,对国家安全、公共利益或者个人、组织合法权益造成的危害程度,对数据实行分类分级保护。国家数据安全工作协调机制统筹协调有关部门制定重要数据目录,加强对重要数据的保护。
关系国家安全、国民经济命脉、重要民生、重大公共利益等数据属于国家核心数据,实行更加严格的管理制度。
各地区、各部门应当按照数据分类分级保护制度,确定本地区、本部门以及相关行业、领域的重要数据具体目录,对列入目录的数据进行重点保护。
《网络安全法》第21
条首次提出了数据分类分级保护制度,《数据安全法》进一步明确了相关部门在分类分级保护和重要数据保护中的职能。《数据安全法》原则性规定了数据分类分级的依据为在经济社会发展中的重要程度和遭到篡改、泄露等情形时的危害程度。由于不同行业、不同地区数据分类分级的具体规则和考虑因素差异巨大,《数据安全法》将重要数据具体目录和具体分类分级保护制度的制定权限下放到行业主管部门和各地区国家机关,充分平衡了法律规定的普适性和灵活性。对于市场参与者而言,我们建议首先关注《工业数据分级分类指南(试行)》、《基础电信企业数据分类分级方法》(YD/T3813-2020)、《个人金融信息保护技术规范》(JR/T0171-2020)等行业数据分级分类的国家标准,另外也需要密切关注地方行业主管部门发布的数据分类分级目录等要求。
第三章第二十二条国家建立集中统一、高效权威的数据安全风险评估、报告、信息共享、监测预警机制。国家数据安全工作协调机制统筹协调有关部门加强数据安全风险信息的获取、分析、研判、预警工作。
第三章第二十三条国家建立数据安全应急处置机制。发生数据安全事件,有关主管部门应当依法启动应急预案,采取相应的应急处置措施,防止危害扩大,消除安全隐患,并及时向社会发布与公众有关的警示信息。
第三章第二十四条国家建立数据安全审查制度,对影响或者可能影响国家安全的数据处理活动进行国家安全审查。依法作出的安全审查决定为最终决定。
《数据安全法》提出建立数据安全风险评估、安全事件报告制度、监测预警机制、应急处置机制和安全审查等制度,有望在后期逐步推出具体机制体制的主管机构、适用范围、评估审查模式等配套制度。值得注意的是,国家依法作出的数据安全审查决定为最终决定,这意味着相关具体行政行为将无法通过行政复议、行政诉讼等形式进行救济。
第三章第二十五条国家对与维护国家安全和利益、履行国际义务相关的属于管制物项的数据依法实施出口管制。
第三章第二十六条任何国家或者地区在与数据和数据开发利用技术等有关的投资、贸易等方面对采取歧视性的禁止、限制或者其他类似措施的,可以根据实际情况对该国家或者地区对等采取措施。
在国际竞争逐步蔓延到数据、网络领域后,各国之间的摩擦频发。例如2020年8月,美国以保护国家安全为由,要求字节跳动出售TikTok应用程序及业务。美国对TikTok的封杀反映了《外国投资审查现代化法》对涉及美国公民敏感信息和来自于特殊国家投资项目严加审查的立法和执法态度。我国《数据安全法》一方面明确维护国家安全和利益、履行国际义务可作为禁止相关数据出口的合法依据,另一方面明确了对外国在数据领域的投资、贸易歧视可采取对等反制措施的立法主张,充分体现了我国在网络数据空间主张数据主权的立法思想。
第四章第二十七条开展数据处理活动应当依照法律、法规的规定,建立健全全流程数据安全管理制度,组织开展数据安全教育培训,采取相应的技术措施和其他必要措施,保障数据安全。利用互联网等信息网络开展数据处理活动,应当在网络安全等级保护制度的基础上,履行上述数据安全保护义务。
重要数据的处理者应当明确数据安全负责人和管理机构,落实数据安全保护责任。
第四章第二十九条开展数据处理活动应当加强风险监测,发现数据安全缺陷、漏洞等风险时,应当立即采取补救措施;发生数据安全事件时,应当立即采取处置措施,按照规定及时告知用户并向有关主管部门报告。
第四章第三十条重要数据的处理者应当按照规定对其数据处理活动定期开展风险评估,并向有关主管部门报送风险评估报告。
风险评估报告应当包括处理的重要数据的种类、数量,开展数据处理活动的情况,面临的数据安全风险及其应对措施等。
第四章第三十一条关键信息基础设施的运营者在境内运营中收集和产生的重要数据的出境安全管理,适用《网络安全法》的规定;其他数据处理者在境内运营中收集和产生的重要数据的出境安全管理办法,由国家网信部门会同国务院有关部门制定。
《数据安全法》明确了开展数据处理活动的市场参与者应当建立完善的数据安全管理制度、进行安全教育培训、风险监测和报告,采用技术手段落实内部制度的规定。因此,数据安全合规制度的建设已成为企业应当履行的法律义务。《数据安全法》延续《网络安全法》的规定,对重要数据提出更高的数据保护要求,具体的法律义务包括明确数据安全负责人和管理机构、开展风险评估并报送报告、符合数据出境安全管理要求等。就风险评估本身而言,关于评估的具体主体、报告报送的对象、评估的频率有待后续立法进一步明确。
《数据安全法》也在法律责任的部分明确了不履行第二十七、二十九、三十条规定的数据安全保护义务、尚未造成数据泄露等后果的,主管部门也可以采取责令改正、警告、罚款等行政处罚措施。在相关制度不健全,且拒不改正或造成大量数据泄露等严重后果的,主管部门则可以责令暂停相关业务、停业整顿、吊销许可证或营业执照和处以罚款。
第四章第三十三条从事数据交易中介服务的机构提供服务,应当要求数据提供方说明数据来源,审核交易双方的身份,并留存审核、交易记录。
第五章第三十四条法律、行政法规规定提供数据处理相关服务应当取得行政许可的,服务提供者应当依法取得许可。
《数据安全法》特别对从事数据交易中介服务的市场参与者提出额外的安全保护要求。就数据交易中介服务本身而言,《数据安全法》尚未给出明确的范围,相关市场参与者可参考《数据交易服务安全要求》中“帮助数据需方和供方完成数据交易的活动”对自身的业务属性进行定位。
就中介机构需要进行审核的内容而言,《数据安全法》要求中介机构审核交易双方的身份,关于审核的具体内容、进行形式审核或实质审核、供需方的合规风险是否传导到中介机构等内容还有待立法和司法的进一步明确。
就数据处理的行政许可而言,《数据安全法》为后续数据交易的准入预留了口子。结合近期的立法和监管动向,例如《征信业务管理办法(征求意见稿)》和人行批准个人征信业务许可,后续可能会在多行业、多领域对市场的准入等环节加强监管。
第五章第三十八条国家机关为履行法定职责的需要收集、使用数据,应当在其履行法定职责的范围内依照法律、行政法规规定的条件和程序进行;对在履行职责中知悉的个人隐私、个人信息、商业秘密、保密商务信息等数据应当依法予以保密,不得泄露或者非法向他人提供。
第五章第三十九条国家机关应当依照法律、行政法规的规定,建立健全数据安全管理制度,落实数据安全保护责任,保障政务数据安全。
第五章第四十条国家机关委托他人建设、维护电子政务系统,存储、加工政务数据,应当经过严格的批准程序,并应当监督受托方履行相应的数据安全保护义务。受托方应当依照法律、法规的规定和合同约定履行数据安全保护义务,不得擅自留存、使用、泄露或者向他人提供政务数据。
政务数据已成为促进政府科学决策、提高公共管理效能的重要资源,疫情催生的大量公共服务数据采集、分析工具也进一步提升了政务数据的体量和质量。《数据安全法》敏锐洞察到政府履职过程中收集、使用数据的安全合规、数据保密、数据共享和委托第三方设计、运维电子政务系统带来的安全问题,并要求相关国家机关制定完善的数据安全管理制度、严格的批准程序以应对实践中存在的数据泄露等安全风险。
第六章第四十一条国家机关应当遵循公正、公平、便民的原则,按照规定及时、准确地公开政务数据。依法不予公开的除外。
第六章第四十二条国家制定政务数据开放目录,构建统一规范、互联互通、安全可控的政务数据开放平台,推动政务数据开放利用。
在数据安全保障的大前提下,《数据安全法》明确了政务数据以公开为原则、不公开为例外的基本理念。在政务数据的互联互通方面,基于实践中普遍存在的政务数据“不愿开放、不敢开放、不会开放”孤岛,《数据安全法》要求在国家层面建立政务数据开放平台,并通过政务数据开放目录的形式应对政务数据领域数据资源碎片化、政务发展不均衡、政务协同缺乏互信基础等现实问题。
三、结语
《数据安全法》明确指出国家支持数据安全检测评估、认证等专业机构依法开展服务活动。在数据安全的评估认证方面,中国信息通信研究院(以下简称“中国信通院”)以“准确度量企业的数据安全治理能力现状,合理规划数据安全治理能力提升路径”为目标,推出了国内首个市场化的“数据安全治理能力评估”(以下简称“DSG评估”)项目。DSG评估为企业建设、度量、改进自身的数据安全治理体系提供了方法论和操作指南。在充分厘清法律合规义务的基础上,DSG
评估基于国家、行业标准和行业最佳实践,可为参评企业明确指出当前安全合规建设的不足并给出相应的改进建议,从而帮助企业锚定安全风险和提升合规建设。
《数据安全法》要求开展数据活动应当采取相应的技术措施和其他必要措施以保障数据安全。隐私计算技术通过使用相关密码学技术和可信硬件,有助于在保护数据本身不出本地、减少对外泄露风险的前提下实现数据的融合建模计算,避免数据被泄露、盗用、滥用。中国信通院已推出隐私计算系列标准和相应的测试评估。目前的标准体系包括《基于多方安全计算的数据流通产品技术要求与测试方法》《基于联邦学习的数据流通产品技术要求与测试方法》《基于可信执行环境的数据计算平台技术要求与测试方法》和《区块链辅助的隐私计算技术工具技术要求与测试方法》4个功能性标准,隐私计算产品安全性能相关标准和测试方法制定工作也正在推进中。
《数据安全法》要点解读
《数据安全法》是我国第一部有关数据安全的专门法律,也是国家安全领域的一部重要法律。《数据安全法》的出台,为国家重要数据保护和各行业数据安全监管提供依据,标志着我国在数据安全领域有法可依。
一是强化数据安全领域制度建设。《数据安全法》确立了数据分类分级管理、数据安全审查、风险评估、监测预警和应急处置等基本制度,为我国数据安全保护提供了法律保障,也为相关部门出台重要数据目录、数据跨境管理等的细则办法和规范性文件留下法律依据。同时,《数据安全法》明确了数据管理者和运营者应当遵守的义务和责任,对相关主体形成制约机制,并为其开展数据安全保护指明了合规方向。
二是统筹数字经济发展与数据安全保护。《数据安全法》坚持数据安全保障与数据开发利用和产业发展互相促进,在法律层面提出了发展数字经济、弥合数字鸿沟、推进数据开发利用、培育数据交易市场等要求,在保障数据安全的同时,促进数据的创新应用,激发数据要素价值,提升数据对经济社会稳定发展的作用。
三是指导行业部门开展数据保护工作。《数据安全法》明确了行业部门的数据安全监管职责。在工业领域,工业数据既承载着工业生产运行的重要信息,关乎产业安全和国家安全,又是驱动制造业转型升级的重要生产要素,亟待有效挖掘应用价值。《数据安全法》划出了数据活动的“红线”,为工业领域开展数据分类分级、跨境传输评估、风险评估等工作提供指引,能够有效破解智能网联汽车、工业互联网等应用场景的数据安全问题,从而保障行业安全和国家利益。
未来,伴随《数据安全法》的落地实施,数据确权、数据跨境等配套管理措施,以及具有行业特点的细化管理方案,将成为下一步数据立法重点,我国网络安全和数据安全的法律体系将愈加完善。
《数据安全法》要点解读
近日,十三届全国人大常委会第二十九次会议通过了《数据安全法》。这部法律的通过明确了数据安全与数据治理的分类分级管理和保护机制。随着数据成为国家战略和重要生产要素,数据与土地、劳动力、资金和技术生产要素的融合将助力我国数字产业化和产业数字化,这其中不可或缺的是数据的社会治理问题。从法律的角度设立前瞻性和规范性的数据保护法,体现了数据在国民经济发展的重要性和紧迫性,也是继《网络安全法》后明确数据篡改、破坏、泄露或者非法获取、非法利用,对国家安全、公共利益或者公民、组织合法权益造成危害的明确界定和处罚力度的法律依据。
建立国家法律层面的数据安全法,有助于形成数据生产企业和各级政府管理部门的数据保护意识,完善统一的数据分类分级保护目录,建立规范基准之上的数据获取、数据利用和数据治理的针对性和细颗粒度的数据保护,促进数据产业合理合规利用数据、共享数据和开放数据,推进我国数字化战略进程,形成有效的支撑云计算、大数据、人工智能、物联网、区块链和5G可持续性发展。
数据安全法也是应对全球数字化和一体化经济发展的重要举措,将明确规范跨境数据流动和流转的法律要件,明确数据跨境流动的出口管制、报批制度和反制措施,即明晰了国内存储数据的跨境和境外司法监管的保护机制,有助于开展跨境国际数据交流合作,促进数据跨境安全自由流动,履行数据相关主体的责任义务和报批流程,实施国家利益的数据出口管制,应对境外数据活动的歧视性政策和反制措施,使得我国境内数据安全保护有了国家尚方宝剑。
数据安全法是我国从数据安全立法建立的基本法律制度框架,从事数据活动的相关主体需要结合自身企业、行业和各级政府主管部门需要不断学习,细化主体责任和落实相关执行细则。加强自身数据安全、数据隐私保护的技术能力和监管实践,有效评估数据安全风险和处罚力度。数据活动主体需要探索数据要素与其他生产要素融合产生新的数据安全领域的机遇与挑战,勇于开拓大数据与人工智能在数据要素的隐私保护技术。
《数据安全法》要点解读
作为我国关于数据安全的首部律法,《数据安全法》已于2021年9月1日正式施行,标志我国在数据安全领域有法可依,为各行业数据安全提供监管依据。
随着《数据安全法》的出台,我国在网络与信息安全领域的法律法规体系得到了进一步的完善。按照总体国家安全观的要求,《数据安全法》明确数据安全主管机构的监管职责,建立健全数据安全协同治理体系,提高数据安全保障能力,促进数据出境安全和自由流动,促进数据开发利用,保护个人、组织的合法权益,维护国家主权、安全和发展利益,让数据安全有法可依、有章可循,为数字化经济的安全健康发展提供了有力支撑。
《数据安全法》对数据安全作出了全面的指导,并加大了对违法行为的处罚力度:
解读一:坚持以数据开发利用和产业发展促进数据安全
当前数字经济的蓬勃发展正成为我国在国际环境中的核心竞争力。《数据安全法》鼓励数据依法合理有效利用,保障数据依法有序自由流动,促进以数据为关键要素的数字经济发展,增进人民福祉。我国坚持维护数据安全与促进数据开发利用并重,互相促进。《数据安全法》的正式实施将为我国在国际数据经济市场中提供坚实有力的保障。
解读二:深化数据安全体制建设
在大数据时代背景下,政务、社会、城市数字化转型快速发展,依据本法建立数据安全管理制度,明确数据责任主体,从统一化及可落地性出发,结合现有数据业务建设需求和建设情况,遵从整体策略方针,全面优化管理体制,为我国数字化转型的健康发展提供法治保障,为构建智慧城市、数字政务、数字社会提供法律依据。
解读三:数据安全监管制约
《数据安全法》明确了数据管理者和运营者的数据保护责任,指明了数据保护的工作方向,对整个信息安全产业都带来了积极的影响,全面消除数据管理者和运营者在数据安全建设中的盲区,数据安全建设有法可依,数据安全事故造成的损失有法可惩,这对促进经济社会信息化健康发展,保护公民、组织的合法权益具有非常大的价值。
《数据安全法》以人为本,鼓励对违法行为的投诉举报,对投诉、举报人的相关信息予以保密,并充分考虑老年人、残疾人的需求,维护每一个公民的合法利益。
解读四:深度覆盖的全场景数据安全评估与防护要求
《数据安全法》特别指出“关系国家安全、国民经济命脉、重要民生、重大公共利益等数据属于国家核心数据,实行更加严格的管理制度。”核心数据安全监督与管理、评估与防护建设刻不容缓。
《数据安全法》提出对数据全生命周期各环节的安全保护义务,加强风险监测与身份核验,结合业务需求,从数据分级分类到风险评估、身份鉴权到访问控制、行为预测到追踪溯源、应急响应到事件处置,全面建设有效防护机制,保障数字产业蓬勃健康发展。
解读五:加大政务数据开放共享中的安全机制
《数据安全法》针对政务数据开发利用作出了明确的指示,要求省级以上人xx府应当将数字经济发展纳入本级国民经济和社会发展规划,加强数据开放共享的安全保障措施,建立统一规范、互联互通、安全可控的机制,利用数据安全运营,提升数据服务对经济社会稳定发展的效果。
《数据安全法》的发布促进数据安全的保障力度和执法强度,对数字化转型中的政务数据应用起到关键性的作用。数字经济市场空间巨大。
解读六:加大违法处罚力度
《数据安全法》对数据安全违法行为赋予了多项处罚说明,对违反国家核心数据管理制度,危害国家主权、安全和发展利益的,由有关主管部门处200万元以上1000万元以下罚款,并根据情况责令暂停相关业务、停业整顿、吊销相关业务许可证或吊销营业执照,过程犯罪的,依法追究刑事责任。
............试读结束............
查阅全文加微信:3231169 如来写作网:gw.rulaixiezuo.com(可搜索其他更多资料)
本文内容由互联网用户自发贡献,该文观点仅代表作者本人。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如发现本站有涉嫌抄袭侵权/违法违规的内容, 请发送邮件至 3231169@qq.com 举报,一经查实,本站将立刻删除。如若转载,请注明出处:https://www.rulaiwenku.com/77878.html
